*
 
AfterDawn: IT-alan uutiset

Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä

Kirjoittaja Manu Pitkänen (Google+) @ 18.4.2014 09:59 Kommentteja (15)

Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä Kyberturvallisuuskeskus on lupaustensa mukaisesti avannut listan, jossa se kertoo Hearbleed-haavoittuvuudesta kärsineiden suomalaisten palveluntarjoajien nimet. Salasana on suositeltavaa vaihtaa, mikäli käytät listalla olevan palveluntarjoajan tuotteita.
Haavoittuvuudesta ovat kärsineet myös isot ulkomaalaiset palvelut, joten isoon salasananvaihtoruljanssiin on aihetta. Muiden muassa Google, Facebook ja Yahoo ovat käyttäneet OpenSSL-kirjaston haavoittuvia versioita.

Alla on Kyberturvallisuuskeskuksen julkaisema lista suomalaisista palveluista, joiden käyttäjien salasanat ovat voineet paljastua Heartbleedin vuoksi.
Päivitämme listaa sitä mukaa kun palvelujen nimiä tulee ilmi. Pysyt ajan tasalla, kun lisäät uutisen kirjanmerkkeihin.

Päivitys (22.4.2014). Lisätty VETUMAn kohdalle huomautus. Ei vaadi käyttäjiltä toimia, koska palvelu ei käsittele käyttäjätunnuksia tai salasanoja, vaan välittää tunnistamisen hyväksynnän pankki- tai mobiilitunnistautumisen palvelimelta.
Päivitys (23.4.2014) DNA lisätty listaan.
Päivitys. (6.5.2014) Listaa päivitetty useilla kohteilla.

Tägit: Heartbleed
Edellinen Seuraava  

15 kommenttia

118.4.2014 10:34
Jeppe-Joonatan
Vahvistamaton

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

218.4.2014 10:54

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:
Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.
Kyllä salasana kannattaa vaihtaa heti ja varautua vaihtamaan se uudelleen, jos palvelun nimi tulee vaihtamisen jälkeen listoille. Palvelun käyttäjä ja salasanatiedot saattavat olla jo rikollisilla "varastossa".

Salasanat eivät ole sukupuuttoon kuolemassa joten niitä riittää.

318.4.2014 11:05

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

418.4.2014 11:29

Lainaus, alkuperäisen viestin kirjoitti Michelola:
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?

"History books will be written about events this month. The story they will tell is up to us"

518.4.2014 11:32

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:
Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.
Kyberturvallisuuskeskus ilmoittaa niiden palvelujen nimet, jotka ovat kertoneet korjanneensa haavoittuvuuden.

618.4.2014 11:51
armagedoun
Vahvistamaton

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

718.4.2014 12:07

En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä

818.4.2014 12:09

Lainaus, alkuperäisen viestin kirjoitti syrtek66:
Lainaus, alkuperäisen viestin kirjoitti Michelola:
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?

Uskoisin että Michelola tarkoittaa tässä tapauksessa Codenomiconia.

918.4.2014 12:09

Oletetaan, että muutoin salaus on tehty asiallisesti palveluiden puolesta.

Riittää, että käyttäjä muuttaa/lisää yhden merkin salasanaan.
KissaKoira2014 => Kissakoira2014

Salasana on kuin uusi, tässä tapauksessa.

1018.4.2014 12:58

Kannattaa myös salasanaa tekiessä muistaa, että ei kannata tehdä itselle kauhean vaikeasti muistettavaa salasanaa. Yleensä nämä on tietokoneen paljon helpomi arvata. Myös sanakirjaa käyttäviä dekryptereitä on turha pelätä, jos salasana on tarpeeksi pitkä. Toisaalta, jossain palveluissa on salasanan pituus rajoitettu, joten se hieman rajoittaa asiaa.
Esimerkki: 10 sanan lauseet, jossa lauseen ensimmäisen ja viimeisen sana alkavat isolla kirjaimella.
EikiinnostatamapaskasittenYhtaanEiedesHuomenna
Numeroita halutessaan. Suurempi todennäköisyys on, että salasanasi paljastuu huolimattomuuteesi kuin se että botti sen selvittäisi. Ääkköset olisivat muuten hyviä, mutta jossain palveluissa niitä ei tueta. Itselleni on käynyt muutamaan kertaan, että salasana hyväksytään aluksi, mutta uudelleenkirjoittaessa valittaa, että ei ole oikea.

1118.4.2014 14:38

Lainaus, alkuperäisen viestin kirjoitti Automic:
En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä
Tässä tapauksessa kyseessä on sikäli erilainen tapaus kuin aikaisemmat tietovuodot, että salasanoja ja muuta tietoa on voinut vuotaa ilman, että mitään jälkiä on jäänyt. Lisäksi vuodot kohdistuvat palveluihin, joita oletusarvoisesti (https-yhteys) on voinut pitää turvallisena.

Ongelma on tullut esiin muutama viikko sitten, mutta itse bugi on ollut OpenSSL-kirjastossa jo kahden vuoden ajan. Kuka tahansa on voinut tänä aikana vian bongata lähdekoodista ja käyttää sitä hyväksi ilman, että kukaan on huomannut mitään.

Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.

Lainaus, alkuperäisen viestin kirjoitti armagedoun:
Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...
Ei nyt ihan näinkään. Satunnaisella pommittamisella ei saa kuin yksittäisiä, merkityksettömiä pätkiä, mutta pitkällä aikavälillä voi vuodon kautta kerätä mm. salausavaimia ja salasanoja melko hyvällä todennäköisyydellä. Tästä on raportoinut mm. Cloudflare, jonka testipalvelimen avaimet kaivettiin esiin alle vuorokaudessa.


Jari Ketola
Administrator
http://www.AfterDawn.com

1218.4.2014 15:50

Lainaus:
Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.

Oikeiden sähköpostipalveluiden kanssa kannattaa käyttää Two-step verification -järjestelmää, jolloin yhden salasanan vuotaminen ei aiheuta ongelmia
http://en.wikipedia.org/wiki/Two-step_v...ication_service

1318.4.2014 16:47

Aikas moni julkishallinnon organasaatio tuota VETUMAakin käyttää...

mm. Väestöreskiterikeskus, valtionkonttori, kela, verohallinto...

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.4.2014 @ 16:58

- Always use protection. Safe browsing!

1418.4.2014 21:43

Lainaus, alkuperäisen viestin kirjoitti armagedoun:
Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Eihän noita hullukaan manuaalisesti haravoi, mutta ei mene montaa tuntia kun alan mies kirjoittelee ohjelman joka pyörittää tätä rumbaa automaagisesti ja kerää pelkästään olennaisia tietoja sopivan algoritmin avulla.

1522.4.2014 20:19

openssl on forkatttu openbsd:n toimesta ja näyttävät tekevät valtavaa reworkkia esim muistinvarauksen liityen.


"History books will be written about events this month. The story they will tell is up to us"

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto